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(57) Au lieu d'utiliser des accreditations multiples et un pro- 
cessus it§ratif de verification, on utilise une accreditation pro- 
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PROCEDES D'AUTHENTIFICATION D 1 ACCREDITATIONS OU DE 
MESSAGES A APPORT NUL DE CONNAISSANCE ET DE SIGNATURE 

DE MESSAGES 

DESCRIPTION 

La presente invention a pour objet des proc£d£s 
d'authentification d f accreditations ou de messages a apport nut 
de connaissance et un precede de signature de messages, 

L'invention trouve de nombreuses applications dans La 
verification de l"authenticite de cartes bancaires dites M a 
puces' 1 ou plus g*n£ralement de I'authenticite de tout support 
permettant a son detenteur de commander un accfcs, (a un local, a 
un coffre, a une banque de donnees, a un systfcme informatise, a 
une ligne teiephonique, etc.). Elle s f applique egalement a la 
verification de I'authenticite de messages de toute nature, ces 
messages pouvant commander une ouverture ou une fermeture, 
I'enclenchement ou l f arr§t d'un systeme, la commande de la mise a 
feu d f un engin, la commande d f un satellite, le dedenchement 
d'une alerte etc... Enfin, l f invention permet de signer des 
messages de telle maniere que leurs destinataires soient assures 
de leur provenance, et puissent a leur tour convaincre un tiers 
sur cette provenance. 

L'invention s'appuye sur deux branches de la 
cryptographie qui sont respect ivement la cryptographic a cle 
rev£L£e (ou a cle publique) et les procedures de verification a 
apport nuL de connaissance. Bien que l» invention ne concerne pas 
un procede de chiffrement, il n'est pas inutile de rappeler en 
quoi consistent ces deux techniques. 

De tout temps le maintien du secret des communications 
a ete une preoccupation. Aujourd^ui que les syst ernes de 
telecommunications prolif erent, il est devenu un probieme majeur. 
De ce fait, les techniques de chiffrement et de dechif f rement ont 
progresse considerablement ces dernieres annees. Ce progres a 
d'ailleurs ete encore acceiere par I'avenement des calculateurs, 
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qui ont permis d* ^laborer des cryptosyst£mes k hautes 
performances. 

Dans un cryptosystfeme, un message W, dit message en 
clair, est transform^ & I'aide d*une cl£ E, pour donner un 

5 message ECM) dit message chiffr*. A la cl* E correspond une cl6 
inverse D qui permet de retrouver le message en clair par une 
transformation inverse : D(E(M))=M. 

Dans les techniques traditionnelles les deux cl£s E et 
D sont tenues secretes et ne sont connues que des seuls 

10 inter locuteurs. 

Cependant, un cryptosystfcme original a M developp* 
ces dernUres ann£es, dans lequel la cU de chiffrement n^st 
plus tenue secrete mais est, au contraire, r^v^Ue. 
Paradoxalement, cette relation n f affaiblit en rien la s£curit6 

15 du systfcme. En effet, il se trouve que le chiffrement utilise une 
fonction telle que la connaissance de la cl6 E ne permet pas, 
dans la pratique, de retrouver la cU D de d£chif f rement. On 
parle alors, de manifcre imag£e, d'une fonction "trappe" pour la 
fonction de chiffrement, fonction qui est particulidrement 

20 difficile & inverser, sauf pour celui qui connalt la valeur de la 
trappe. 

Les principes generaux de ces syst£mes ont £t$ decrits 
dans I'article de W. DIFFIE et M. HELLMANN intitule "New 
Directions in Cryptography" public dans IEEE, Transactions ou 
25 Information Theory, vol. IT-22, pp 644-654, Nov. 1976. 

On peut aussi" consulter a ce sujet Particle de K. 
HELLMAN intitule "The Mathematics of Public-Key Cryptography" 
public dans Scientific American d'AoQt 1979, vol.241, n°2, pp 
130-139 ou sa traduction franpaise dans l'£dition de "Pour la 
30 Science" sous le titre "Les Mathematiques de la Cryptographie a 
clef rev6l#e", Octobre 1979, vol. n°24, pp 114-123. 

Les principes th6oriques de la cryptographie & cl§ 
r£v£l£e ont pu Stre mis en application de maniere 
parti culierement efficace dans un systeme dit RSA (des initiates 
35 de ses inventeurs Ronald RIVEST - Adi SHAMIR et Leonard ADLEMAN). 
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Ce systfcme est ctecrit dans l f article de Martin GARDNER intituU 
"A new kind of cipher that would take millions of year to break" 
public dans Scientific American, AoOt 1977, pp. 120-121. Dans le 
systfcme RSA la fonction trappe est la factorisation d«un nombre 
en *l*ments premiers. On sait que I'op^ration de factorisation 
est l»une des plus difficiles de I'arithm^tique. Par exemple pour 
trouver, a la main, les facteurs premiers d'un nombre modeste a 5 
chiffres comme 29 083, il faut quelques minutes. Ces nombres sont 
127 et 229. Mais l«obtention du produit de 127 par 229 ne prend 
que quelques secondes. L'asym^trie d'une telle operation est done 
flagrante. Naturellement, le recours a un ordinateur accelfcre la 
factorisation mais il demeure que, pour factoriser un nombre de 
deux cents chiffres, m§me en mettant ensemble les ordinateurs les 
plus puissants ordinateurs. 

En pratique done, on ne sait pas factoriser un tr£s 
grand nombre. 

Ces propri£t£s sont exploit£es dans le syst£me RSA de 
la manifcre suivante. On choisit deux nombres premiers distincts, 
soit a et b, et on en forme le produit, soit N=a.b. On choisit 
£galement un entier p, qui est premier avec le plus petit commun 
multiple de (a-1> et (b-1). Pour chiffrer un message, 
pr£alablement mis sous forme num^rique M, K £tant compris entre 0 
et N-1, on calcuLe la puissance pi£me de M dans I'anneau des 
entiers modulo N, soit C=M P mod N. (On rappelle que la valeur 
d'un entier x modulo un entier y est £gale au reste de la 
division de x par y ; ainsj, 27 modulo 11 est 6gal a 5, car 27 
divise par 11 donne 5 comme reste). La fonction "elever a la 
puissance p modulo N" d^finit alors une permutation des entiers 
de 0 a N-1 . 

Pour dechiffrer un message tet que C il faut extraire 
la racine pieme du message chiffr* C dans I'anneau des entiers 
modulo N. On montre que cette operation revient a Clever le 
nombre C a la puissance d, d *tant l»inverse de I'exposant p 
modulo le plus petit commun multiple des nombres (a-1) et (b-1). 
Si l«on ne connait pas les facteurs premiers a et b, la 
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determination de d est impossible et avec elle, l"op£ration de 
d^chiff rement. 

Par exemple, en choisissant a=47 et b=59, on obtient 
N=47. 59=2773. On peut prendre p=17. La cU de codage est done 
5 d4finie par les deux nombres 2773 et 17 (naturel lenient, dans ta 
pratique, les nombres utilises sont beaucoup plus grands que dans 
cet exemple). 

Le codage d'un mot M se pr£sentant sous forme du nombre 

920 s f effectue par ^operation suivante : 

10 C = 920 17 mod 2773 

soit C = 948 mod 2773. 

Inversement, pour d^chiffrer le nombre 948, on 

utilisera un exposant d inverse de 17 modulo 1334 qui est le ppcm 

de 46 et 58. Cet exposant d est 157 car 157.17=2669 soit 1 modulo 

157 

15 1334. D^chiff rer 948 revient done b calculer 948 mod 2773 soit 
920, ce qui est bien le message initial. 

Ainsi, dans le systfcme RSA, les nombres N et p peuvent 
ils Stre publics (on parle alors de la "puissance publique p"), 
mais les nombres a et b doivent rester secrets. 
20 Naturellement, il est toujours possible d f utiliser plus 

de deux facteurs premiers pour constituer le nombre N. 

Le syst£me RSA est d^crit dans le brevet des Etats-Unis 
d'Amerique n°4,405,829 delivr£ le 20 Septembre 1983. 

Un tel systeme peut non seulement servir a chiffrer 
25 mais aussi a signer un message. 

Dans le contexte de la signature de messages une entite 
cens£e 6mettre des messages M, entity appel^e signataire, est 
r6put£e travailler avec une cU publique (N, p). Cette entite, 
pour signer ses messages avant Emission, y ajoute une redondance 
30 pour obtenir un 6l£ment de I'anneau des entiers modulo N, puis 
£l£ve cet *Ument h la puissance d (inverse de p) modulo N. 
L'entit^ en question, d£tenant les paramfctres secrets de la cl£ 
publique, c f est-6-dire les deux facteurs premiers a et b, connait 
d. Le message sign£ est done S= ^Red(M)^ mod N. 
35 Pour verifier la signature, le destinataire du message 
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utilise la cU publique (N, p) attach£e h (.•entit* Smettrice et 
p 

calcule S mod N, ce qui, par hypothfcse redonne I'ei^ment codant 
le message M avec sa redondance. En retrouvant la redondance le 
destinataire en conclut ainsi que le message n'a pu €tre envoy* 

5 que par l f entit£ qui pretend I'avoir fait, puisque seule, celled 

ci, £tait capable de traiter le message de cette manifcre. 

Nature I lement, les deux operations de chiffrement et de 
signature peuvent se combiner, Dans ce cas, I'imetteur commence 
par signer son message en utilisant sa cU secrete ; puis il le 

10 chiffre en utilisant la cU publique de son correspondant. A la 
reception, le correspondant dtchiffre le message h I 'aide de sa 
cU secrete, puis authentifie le message en utilisant la cl£ 
publique de I'Smetteur. 

Ces techniques de cryptographic conduisent ainsi k des 

15 m£thodes d'authentif ication (d'un support, d f un message, etc.,.). 
Pour exposer plus en detail cet aspect, qui est au coeur de 
I'invention, on prendra comme exemple I'authentif ication des 
cartes bancaires dites "a puce", sans que cela const itue 
nature I lement en quoi que ce soit une limitation de la port£e de 

20 ^invention. Le proc^de d£crit ci-apr£s est utilise dans les 
cartes bancaires & puce £mises aujourd'hui en France et en 
Norvege, la generalisation des puces dans les cartes bancaires 
est en cours dans ces deux pays. 

Une carte bancaire £ puce possfcde une identite, qui est 

25 constitute par un encha^nement d' informations telles que le 
numero de s£rie de la puce, le numero du compte bancaire, une 
periode de validity et un code d'usage. La carte peut donner, sur 
demande, ces informations d* identite, qui se pr£sentent sous 
forme d'une suite de bits formant un mot I. 

30 A I'aide de regies de redondance, on peut constituer un 

nombre J deux fois plus long que I qu'on notera par la suite 
Red(I)=J. Par exemple, si le nombre I s^crit sous forme de 
quartets, chaque quartet peut §tre complete par un quartet de 
redondance de maniere a former autant d' octets de type a codage 

35 de HAMMING. Le nombre J est appeie souvent I 1 identite "ombragee" 
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(I'ombre etant constitute en quetque sorte par la redondance qui 
accompagne IHdentite). 

^Organisation Internationale de Normalisation (ISO) a 
precise ces questions dans la note ISO/TC97/SC20/N207 intituUe 
5 "Digital Signature with Shadow" devenue avant projet de norme 
DP9796. 

L'autorite habilitee d deiivrer de telles cartes, en 
I 'occurrence la banque, choisit un systeme & cU publique (N, p). 
Elle publie les nombres N et p mais garde secrete la 

10 factorisation de N. L'identite ombragee J de chaque carte est 
alors consider comme un element de I'anneau des entiers modulo 
N. La banque peut en extraire la racine p ifcme dans cet anneau 
Cce qui, comme expose plus haut, necessite la connaissance"des 
facteurs premiers de N, ce qui est le cas). Ce nombre, note par 

15 la suite A, est en quelle que sorte LMdentite de la carte signee 

par la banque. On I'appelle "accreditation". On a done par 
1 /d 

definition A=J y mod K. 

Authentifier une accreditation revient alors & lire 
L'identite de la carte, soit sous la forme simple I, soit sous la 
20 forme ombragee J, puis a lire ^accreditation A dans la carte, a 
eiever celle-ci & la puissance p dans I'anneau des entiers modulo 

N (ce qui est possible puisque les parametres N et p sont connus) 

P P 
et & comparer enfin le resultat, soit A mod N, a J. Si A mod N 

est egal a J alors ^accreditation A est authentique. 

25 Si cette methode permet de detecter des fausses cartes 

dont les identites auraient ete eiaborees de maniere fantaisiste, 
elle presente neanmoins un inconvenient qui est celui de reveler 
[•accreditation des cartes authentiques. Un verificateur peu 
scrupuleux pourrait done reproduire des cartes identiques a celle 

30 quMl vient de verifier (cartes que I'on pourrait appeler des 
"clones") en reproduisant I'accreditation qu'il a lue dans la 
carte authentique. 

Or, I'authentif ication d'une accreditation ne requiert 
pas, en toute rigueur, la communication de celle-ci au 

35 verificateur, mais seulement I'etablissement d'une conviction que 
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la carte dispose d'une accreditation authentique. Le probieme est 
done finalement de demontrer que la carte detient une 
accreditation authentique, sans reveler celle-ci. 

Ce probieme, qui semble insoluble & premiere vue, peut 

5 cependant itre resolu par une procedure dite de preuve par apport 
nul de connaissance ("zero-knowledge proof"). Dans une telle 
procedure, I'entite qui tente d'apporter la preuve (et que I'on 
appellera par la suite le "verifie") et l»entite qui attend cette 
preuve (et qu'on appellera le "v£rif icateur") adoptent un 

10 comportement interactif et probabi liste. 

Cette technique & *t£ decrite par Shafi GOLDWASSER, 
Silvio MICALI et Charles RACKOFF dans leur communication au "17th 
ACM Symposium on Theory of Computing" qui s'est tenu en Mai 1985, 
communication intituiee "The Knowledge Complexity of Interactive 

15 Proof Systems" et publiee dans les Comptes Rendus pp.291-304. Les 
premiers exemples ont ete trouv£s en thdorie des graphes. 

Adi SHAMIR a pense le premier h utiliser ce proc£d£ en 
th£orie des nombres et on pourrait I'appliquer aux cartes d puces 
de la maniere suivante. Ce procede, que I'on appellera par la 

20 suite procede S, est le suivant. 

Au debut de la transaction d'authentifi cation, la carte 
proclame son identite I. Les regies de redondance connues de 
tous, permettent de deduire J, deux fois plus long que I, qui 
correspond a IMdentite ombragee. La carte et le verificateur 

25 connaissent tous deux les nombres N et p publies par I'emetteur 
de cartes, mais seul ce dernier dispose de la factorisation du 
nombre N, qui est I'information de trappe utilisee pour calculer 
les accreditations- 
La transaction d'authentifi cation se poursuit en 

30 repetant le traitement suivant : 

- la carte tire au hasard un element r de I'anneau des 
entiers modulo N, en calcule la puissance p ieme (r P mod N) dans 
I'anneau, et transmet cette puissance au verificateur en guise de 
titre T pour I'iteration ; 

35 - le verificateur tire au hasard un bit d (0 ou 1) (ou 
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si I 'on veut, tire d pile ou face) pour demander & La carte en 
guise de t^moin t : pour pile I'tltment r, et pour face Le 
produit de l^ltaent r par I'accr^dition dans L'anneau (r.A mod 
N) ; autrement dit, dans I'incertitude du tirage Le v£rifi£ doit 
5 tenir disponible r et r.A mod N ce qui implique La connaissance 
de A ; 

- le v£rificateur *l£ve le t£moin t k la puissance p 
modulo N pour retrouver : pour pile, Le test T, et pour face le 
produit dans L'anneau du titre T par I'identite ombragSe J. 
10 Ainsi, d'une part, il faut disposer de l f accreditation 

A pour poss^der simultan£ment Les deux valeurs possibles du 
t£moin t, soit r et rA. D'autre part, le v§rifi£ ne peut d£duire 
de cette transaction la valeur A de l'accr£ditation car, m§me 
s'il demande au v£rifi£ de lui fournir rA, il ne connaU pas r, 

-15 qui a 4t6 tir£ au hasard par le v£rifi£ (le v£rificateur connaU 

P • 

bien r , fourni comme titre par le v£rifi£, mais il est incapable 
d'en extraire la racine p i&me modulo N, puisqu'il ne connalt pas 
la factorisation de N) . 

Le v£rifi6 qui ne serait pas d£tenteur d'une 

20 accreditation authentique pourrait bluffer en tentant de deviner 
le tirage du v£rif icateur. S'il parie sur "0" ("pile") il estime 
que le virif icateur Sldvera le titre a la puissance p modulo N et 
que le v§rificateur comparera le r£sultat obtenu au titre T. Pour 
convaincre le v^rif icateur, le v£rifi£ devra fournir comme titre 

25 T le t£moin £lev£ a la puissance p. Si le bluffeur parie au 
contraire sur "1" ("face") il estime que le v^rif icateur elevera 
le titre h La puissance p et multipliera ensuite le r£sultat 
obtenu par J. II lui faut done, pour convaincre, transmettre 
comme titre T, le t£moin £lev6 b la puissance p multiple par J. 

3Q Autrement dit, le v6rifi£ a une chance sur deux de 

donner une bonne r£ponse s'il renverse la chronologie des 
6v£nements, e'est-a-dire sMl determine non pas d'abord le titre 
T puis le t^moin t, mais s'il parie sur le tirage du v£rificateur 
et s'il constitue le titre a posteriori k I'aide d'un tSmoin tire 

35 au hasard. 
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Dans ce processus probabi liste, les chances du v£rifi£ 
de deviner la bonne r£ponse sont de une sur deux k chaque 
traitement, de sorte qu'en r£g£tant ce traitement k fois, les 
chances du bluff eur tombent $1/2 . Le facteur de s£curit£ de ce 

5 procSde d'authentifi cation est done de 2*. En pratique, k est de 
I'ordre de 16 k 24. 

Dans un tel proc*d£ le nombre p est petit, par exemple 
3. On peut aussi utiliser 2, mais dans ce cas certaines 
precautions doivent €tre prises dans le choix des facteurs 

10 premiers du nombre N pour que la fonction "Clever au carr£ modulo 
N" soit une permutation sur les r*sidus quadratiques de l f anneau 
des entiers modulo N. Les nombres a et b doivent Stre des entiers 
de la forme 4x+3 ; on rappelle que les r£sidus quadratiques sont 
des £Uments qui sont des carr&s dans l f anneau et l 1 identity 

15 ombrag£e J doit pouvoir §tre modifi6e en un r£sidu quadratique 

repr£sentatif avant de calculer l»accr£ditation. Cette solution 

est d§crite dans le document d£j£ cite IS0/TC97/SC20/N207. 

D'autres solutions existent cependant. 

L'entier N, comme dans les cartes bancaires 

320 

20 aujourd'hui, peut St re de la forme N=K+2 oCi K est un entier de 
240 bits public et connu de tous les terminaux. Seul l f 6metteur 
de cartes dispose de la factorisation de N. II est tout de mfme 
conseilie de prendre des nombres composes plus grand. 

L f identity I, comme dans les cartes bancaires 

25 aujourd'hui, peut €tre un motif de 160 bits, obtenu par le 
chatnage d'un numero de s£rie de la puce de 44 bits, d'un numero 
de compte bancaire de 76 bits, d'un code d'usage de 8 bits et 
d'une p6riode de validite de 32 bits. LMdentite ombrag£e 
pr£sente alors 320 bits. L'accr£ditation est alors la racine 

30 cubique de ce mot, modulo N. C'est un nombre de 320 bits. 

Un perfectionnement de cette technique consist e a 
utiliser non pas l f accr£ditation elle-m§me A (A P mod N=J) mais son 
inverse, note B. On a alors B P J mod N=1 ce qui permet de 
simplifier la comparaison du titre et du t£moin. En effet, il 

35 suffit alors de transmettre un t£moin £gal a r(dB-d+1) (qui est 
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6gal soit & r si d=0 soit k rB si d=1 et de calculer t P (dJ-d+1) 
mod N pour trouver Le titre T. Ce dernier peut aLors n^tre 
transmis que partie I lenient, par exemple sous forme d'une centaine 
de ses bits ou encore mieux apr£s une compression par une 

5 fonction h sens unique. 

On rappelle qu'une fonction de compression fait 
corresponds & un ensemble de n elements un ensemble de m autres 
elements, m etant infeHeur k n et tel qu'il sont pratiquement 
impossible de localiser deux elements ayant m§me image. 

10 La figure 1 annex6e & la description illustre ce 

procede. Les filches allant de gauche h droite reprdsentent une 
transmission du verifie vers le v6rificateur (identity I, titre 
T, temoin t) et les filches allant de droite h gauche une 
transmission dans le sens inverse (bit d tire au hasard). Un 

15 tirage au hasard est represente par un cercle associe k un point 
d'interrogation. Le signe € signif ie "appartient et les 

nombres entre accolades designent I'ensemble des entiers compris 
entre les deux bornes indiquees, bornes comprises. La comparaison 
finale decidant de l f authenticite de ^accreditation est 

20 schematisee par un signe egal surmonte d'un point 
d'interrogation. Le tirete marque un ensemble d f op6rations 
effectu^es k fois (iteration). 

II a ete propose r£cemment un procede encore plus 
perfectionne, qui utilise des accreditations multiples. Ce 

25 procede a ete decrit dans la communication de Amos FIAT et Adi 
SHAKIR, public dans le Compte Rendu de CRYPTO 1 86, Santa 
Barbara, CA, USA, August 1986, communication intitule : M How to 
Prove Yourself : Practical Solutions to Identification and 
Signature Problems", Springer Verlag, lecture Notes in Computer 

30 Science, N°263, pp. 186-194. 

En notant dans la carte plusieurs accreditations, on 
augmente I'efficacite du traitement, et on reduit le nombre 
d' iterations necessaires pour atteindre un niveau donne de 
securite vis-a-vis de la chance laissee au bluff eur. Dans cette 

35 methode de diversification, on produit n identites diversifiees 
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11, In qui, complies par leurs ombres, donnent n identites 

diversifiees ombragees J1, Jn. La carte contient les n 

accreditations inverses B1, Bn qui verifient Les relations 

Ji.Bi P mod K=1. 

Dans ce procede, que l»on notera FS, chaque traitement 
ou iteration devient alors le suivant (en prenant 2 pour exposant 
public) : 

- la carte tire au hasard un element r dans I'anneau 
des entiers modulo N, puis transmet au verificateur 128 bits du 
carr£ de cet element en guide de titre T ; 

- le verificateur tire au hasard un mot de n bits soit 
b1, bn, qu'il transmet h la carte ; 

- la carte calcule alors le produit de l' element r par 
les accreditations inverses designees par les bits k "1" dans le 
mots de n bits b1, bn. Et la carte transmet en guise de 
temoin la valeur t ainsi obtenue : 

t=r.(b1.B1-b1+1). ... .(bn.Bn-bn+1) mod N 

- le verificateur teste ce temoin t en I'elevant au 
carre dans I'anneau, puis en multipliant ce carre par les 
identites ombragees diversifies designees par les bits a "I" du 
mot de n bits, 

p 

soit : t .Cb1.J1-b1+1) (bn.Jn-bn+1) mod N 

L'authenticite est prouvee si l , on retrouve les bits 
publies du titre T. 

N'importe qui pourrait tirer au hasard un temoin t, 
puis, dans I'anneau, elever au carre ce titre et multiplier par 
une selection d' identites diversifiees pour constituer apres coup 
un titre T. En effet, en donnant ce titre au debut du traitement, 
si la question posee est bien la selection escomptee, alors le 
temoin t est une reponse acceptable qui authentifie la carte. 

II y a done bien une stategie gagnante pour le devin 
qui conna^t h I'avance le tirage du verificateur. 

Pour passer avec succes une iteration, le bluffeur 
doit, cette fois, deviner un mot de n bits et non plus un seul 
bit comme dans le procede GHR. Si les 2* va leurs sont 
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equiprobables, Lc produit de la multiplicity des accreditations 

(n) par le nombre des iterations (k) reduit exponentiellement les 

chances laissees au bluffeur. Le facteur de security de la 

k n 

transaction d'authentif ication est alors 2 * . 

5 A chaque iteration, le verifie transmet par exemple 128 

bits (par exemple un quart des 512 bits) et un element de 
I'anneau, et le verificateur transmet n bits. A chaque iteration/ 
le verificateur et la carte calculent un carre et font un nombre 
de multiplications egal au nombre de bits a "1 M dans le mot de n 

10 bits (poids de HAMMING) • 

Comme autre compromis entre efficacite de ^iteration 
et nombre maximum de multiplications & effectuer durant 
l' iteration on peut limiter le nombre de bits & 1 dans le mot de 
n bits. 

15 On pourra consulter h propos de cette technique, le 

compte rendu de la communication de Amos FIAT et Adi SHAMIR au 
"5e Congrfcs Mondial de La Protection et de la security 
Informatique et des Communications" qui s'est tenu £ Paris les 4- 
6 Mars 1987 sous le titre "Unforgeable Proofs of Identity". 

20 La figure 2 annexde i I Lustre schematiquement ce procede 

FS, avec Les mimes conventions que pour la figure 1. 

Ces proc£d£s d'authentif ication d'accreditation peuvent 

se transposer ais£ment h I'authentif ication d'un message 6mis par 

une' entite cens^e €tre accreditee. Dans ce cas, le titre T 

p 

25 transmis par le verifie n f est plus forme uniquement par r mod N, 

comme dans le cas precedent, mais aussi par le message m a 

authentif ier. Plus precisement, le resultat par une fonction de 

p 

compression, notee f, dont les arguments sont m et r mod N. 

Les figures 3 et 4 schematisent ces procedes dans le 
30 cas des techniques S et FS. 

Enfin, ces techniques peuvent egalement servir & signer 
un message. La fonction de compression joue alors Le r6le assigne 
au tirage du verif icateur. Plus precisement, dans le procede de 
type S, le signataire tire k elements r dans I'anneau des entiers 
35 modulo N, soit r1, r2, rk, qui vont jouer le role des 
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diff brents r tires au cours des k iterations. Le signataire eieve 
ces entiers au carre mod N et calcule la fonction de compression 
f (m, r mod N, ... rk mod N) ce qui fournit un nombre D ayant 
pour bits d1, d2, dk. Chaque bit di de ce nombre joue le 

5 r6le que jouait le bit tire au hasard dans le procede 
d'authentification d'accreditation decrit plus haut. Le 
signataire forme alors k titres ti=riB dl mod N, avec i=1,2...k. 
Le message signe est alors constitu* par un multiplet forme par 
m, I, d1, dk, t1, tk. 

10 Pour verifier un tel message signe on eieve au carre 

les titres ti modulo K et on multiplie chaque carre par J dl 

modulo N. On calcule ensuite la fonction de compression f Cm, 
..2d! ,2 dk 

ti J mod N, tk J mod N) et I'on compare le rSsultat 

obtenu avec le nombre D, soit avec les bits d1, d2, dk. 

15 Dans I'application a la signature de messages, le 

nombre k est plus grand que dans I ■authentication. It est de 
I'ordre de 60 a 80. En effet, la verification ne s'effectue plus 
en temps reel et le fraudeur a done tout son temps pour eiaborer 
une fausse signature. 

20 Les figures 5 et 6 schematisent ce procede dans le cas 

des techniques S et FS. Si toutes ces techniques de I'art 
anterieur conviennent bien en theorie, elles pr^sentent cependant 
des inconvSnients du point de vue pratique. En particulier, la 
methode FS, avec la multiplicity de ses accreditations, consomme 

25 un espace memoire important. Par ailleurs, la necessite 
d'effectuer une repetition des traitements allonge la duree des 
^changes. Enfin, la multiplicity des temoins allonge les 
informations a ajouter a un message pour le signer. 

La pr£sente invention a justement pour but de remedier 

30 a cet inconvenient. A cette fin elle preconise une technique 
utitisant une seule accreditation (et non plus des accreditations 
multiples) et un seul traitement (et non plus une repetition de 
traitements). 

De fapon plus precise, la presente invention a d'abord 
35 pour objets un procede d'authentification d'une accreditation et 
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un procede d'authentif ication d'un message, procedes qui mettent 
tous deux en oeuvre, d'une part, ^elaboration d'une 
accreditation bas6e sur le systfcme k cie publique et, d f autre 
part, une preuve & apport nul de connaissance ; 

a) pour ce qui est de ['operation d'eiaboration de 
['accreditation, elle comprend Les operations connues 
suivantes : 

- une autorite habilitee £ deiivrer des accreditations 
choisit deux nombres premiers, forme Le produit (N) de ces 
deux nombres, tient secrets ces nombres qui constituent alors 
tes facteurs premiers de N, choisit un entier p et publie N et 

p; 

- pour chaque detenteur d'une accreditation, une 
identite numerique I est constituee, puis comptetee par 
redondance pour former un mot J appeie identite ombragee, 

- une accreditation A est eiaboree par L'autorite en 
prenant La racine pieme de I'identite ombragee dans L'anneau 
des entiers moduLo N, (A P mod N=J), 

- dans un support approprie contenant une memoire, 
L'autorite charge ['inverse modulo N de [•accreditation A, 
soit un nombre B appeLe accreditation inverse (B n j mod N=1), 
ce nombre B constituant ^accreditation qu f il s'agit 
d'authentifier ; 

b) pour ce qui est de I'authentif ication de ['accreditation ainsi 
eLaboree, cette operation consiste, de maniere elle aussi 
connue, en un processus numerique interactif et probabiliste 
du type a apport nul de connaissance et s'etablissant entre un 
support contenant une accreditation, support appeLe "Le 
verifie" et un organe d'authentif ication appeie "Le 
verif icateur", ce processus comprenant au moins un traitement 
numerique constitue par les operations connues suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant h I'anneau des entiers modulo N, 

- le verifie eieve cet entier r & la puissance p modulo 
N, le resultat etant appeie titre T, 
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- le verifie delivre alors au moins une partie des bits 
du titre T, 

- le verificateur tire ensuite au hasard un nombre D 

et demande au verifie d"effectuer certaines operations sur r 
et sur ^accreditation inverse B, ces operations etant liees 
au nombre D tire au hasard par Le verificateur et effectu6es 
dans I'anneau des entiers modulo N, 

- le verifie delivre au verificateur un nombre t, 
appele temoin, resultat de ces operations, 

- le verificateur effectue a son tour des operations 
portant sur le temoin t delivre par le verifie et sur 
IMdentite ombragee J du verifie, operations liees elles aussi 
au nombre D tire au hasard par le verificateur et effectuees 
dans I'anneau des entiers modulo 

- le verificateur compare le resultat ainsi obtenu 
avec les bits du titre T que le verifie a delivre en debut de 
processus de verification, et admet I'authenticite de 
^accreditation s f il retrouve ces bits. 

Le procede d'authentif ication d f accreditation selon 
l' invention est caracterise par le fait que : 

a) lors de l f elaboration de I Accreditation (B) le nombre p 
servant a extraire la racine p ieme de I'identite ombragee CJ) 
est choisi grand et comprend au moins une dizaine de bits, 

b) pour l f authentification de ^accreditation le processus ne 
comprend qu'un seul traitement interactif et probabiliste (et 
non une repetition d'un tel traitement), ce traitement unique 
consistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- I'operation que le verifie effectue pour deiivrer un 
temoin t est le produit, dans L'anneau des entiers modulo N, 
de l" element r qu'il a lui meme tire au hasard, par la 
puissance Dieme de ^accreditation inverse B, le titre etant 
alors t=r.B mod N, 

- les operations qu'effectue le verificateur sont le 
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produit, dans I'anneau des entiers modulo N, de la puissance p 

i£me du t4moin t par la puissance D i£me de I 'identity 
p D 

ombrag^e J, soit t J mod N, 

- ^operation de comparaison effectu£e par le 

5 v£rificateur porte slors sur les bits du titre T ddlivr^s par 

Le v£rifi£ et sur les bits obtenus par Uop^ration pr£c£dente, 
I'authenticite de l'accr£ditation £tant acquise en un seul 
traitement d£s lors que tous les bits du titre d£livr£ par le 
v£rifi£ sont retrouv£s par le v£rificateur dans t P J° mod N. 
10 Pour ce qui est du procede d'authentif ication de 

message, le proc£d6 selon ^invention est caract£ris£ par le fait 
que : 

a) lors de I Elaboration de ^accreditation du donneur d'ordre, 
le nombre p servant & extraire la racine p i£me de I'identite 

15 ombrag£e est choisi grand et comprend au moins une dizaine de 

bits, 

b) pour L'authentif ication du message, le processus ne comprend 
qu'un seul traitement interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traitement unique 

20 consistant dans les operations suivantes : 

- le nombre que le v£rif icateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- ['operation que le v£rifie effectue pour d£livrer le 
t^moin t est le produit, dans I'anneau des entiers modulo N, 

25 de I'iliment r qu'il a lui m§me tir£, par la puissance Di£me 

de ['accreditation inverse B, le t£moin 6tant alors r.B mod 
N, 

- les operations qu'effectue le v£rificateur sont le 
produit, dans l'anneau des entiers modulo N, de la puissance p 

30 i£me du temoin t, par la puissance D ieme de L "Identity 

ombrag£e J, 

- le v£rificateur forme la fonction de compression du 
message et du r£sultat des operations precedentes soit f(m, t P 
J mod N), 

35 ~ la comparaison que le v£rificateur effectue porte 
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alors sur la fonction de compression quMl a obtenue et sur le 
titre T que le verifie lui a delivre en debut de processus de 
verification, I'authenticite du message etant acquise en un 
seul traitement des lors que, h la fin de ce traitement, il y 
a correspondence entre tous les bits de la fonction de 
compression obtenue par le verificateur et les bits du titre 
d£livres par le verified 

L 1 invention a enfin pour objet un proced§ de signature 
de message. Dans ce cas ^accreditation du signataire est 
elaboree selon le procede connu h cle publique d«§crit plus haut 
et la signature consiste en un traitement nume>ique probabiliste 
connu comprenant les operations suivantes : 

- le signataire tire au hasards au moins un entier r 
appartenant d I'anneau des entier modulo K, 

- le signataire eleve cet ent'cr r £ U puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 
en prenant comme arguments le message m h signer et la 
puissance r mod N obtenue, 

- le signataire forme au moins un t£moin t en 
effectuant certaines operations sur r et sur l f accreditation 
inverse B, ces operations etant liees au nombre D tire au 
hasard et etant effectuees dans I'anneau des entiers modulo N, 

- le signataire transmet le message m, son identite I, 
le mot D, le ou les temoins t, I'ensemble constituent un 
message signe. 

Le procede de signature de message selon l' invention 
est caracte>ise par le fait que : 

a) lors de I 'elaboration de I 'accreditation du signataire le 
nombre p servant a extraire la racine p ieme de IMdentite 
ombragee est choisi grand et comprend plusieurs dizaines de 
bits, 

b) pour I 'operation de signature du message : 

- le signataire ne tire au hasard qu'un seul entier r 
appartenant a I'anneau des entiers moduLo N, 
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- la fonction de compression a pour arguments Le 
message m et La puissance p i£me de r, ce qui fournit un 
nombre D, 

- le titre unique produit par le signataire est le 

5 produit, dans I'anneau des entiers modulo N, de I'entier r par 

la puissance D i£me de ^accreditation inverse B, 

- le signataire fournit, avec le message m, son 
identity I, le mot D et le titre t. 

Dans les deux premiers procedes, le nombre p comprend 
10 moins 10 bits et de preference entre 16 et 24 bits. 

Dans le procede de signature le nombre p est plus grand 
et comprend plusieurs dizaines de bits, par exemple de 60 & 80 
bits. 

La valeur de p est en effet le facteur de securite d'un 
15 traitement etementaire. Si p est convenable pour Le but recherche 
alors qu'on ne dispose que d'une seule accreditation profonde, on 
peut se contenter d f un seul traitement. 

De toute fagon l' invention sera mieux comprise k la 
lumiere de la description qui va suivre, qui se reffcre & des 
20 dessins annexes. Ces dessins comprennent : 

- les figures 1 a 6, deja decrites, qui illustrent les 
procedes S et FS de Part anterieur ; 

- la figure 7 illustre le procede d'authentif ication 
d'une accreditation selon I'invention ; 

25 " La figure 8 illustre le procede d'authentif ication de 

message selon I'invention ; 

- La figure 9 illustre le procede de signature de 
message selon I'invention ; 

- La figure 10 montre schematiquement un ensemble 
30 permettant de mettre en oeuvre les procedes de I'invention. 

Les conventions utilisees dans les figures 7 a 9 sont 
Les mimes que celles des figures 1 a 6. Dans tous Les cas 
L'accreditation est obtenue par I 'uti Lisation d'un nombre p qui 
est grand. Les inventeurs qualifient cette accreditation de 
35 "profonde" par opposition aux accreditations habitueLLes 
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utilises dans ce domaine pour lesquelles p 4tait de l f ordre de 2 
ou 3 et qui sont, en queLque sorte "superf icielles". 

Dans Le cas des cartes a puce on a done, dans Le cas de 
l f invention, Le traitement suivant : 
5 - La carte tire au hasard un 4l£ment r <1<r<N-1) dans 

l f anneau des entiers modulo N, et donne en guise de litre T 128 
bits de la puissance publique de cet Element (r P mod N) ; 

le v£rificateur tire au hasard un exposant D de 0 a 
p-1 et le transmet a La carte ; 
10 - la carte calcule le tSmoin t qui est Le produit (dans 

I'anneau) de l'6ltment r par la puissance D i&ne de 
I'accrdditation B Ct=r.B° mod N) ; 

- Le v£rificateur calcule dans L*anneau le produit de 
la puissance p ifcme du temoin t par la puissance D i£me de 
15 L 1 identity ombrag£e J, soit t P .J D mod N. 

La preuve est accepts si tous Les bits publies du 
titre T sont ainsi retrouv£s. 

N'importe qui ayant devin£ la question du v£rif icateur 
(lexposant D) peut tirer au hasard un t&noin t, puis faire a 
20 I'avance les calculs du verif icateur, c f est-a-dire faire le 
produit dans L'anneau du temoin t a I'exposant p par L'identite 
ombragee J a l*exposant D. En donnant le titre T au d§but de 
IHteration, si La question posee est bien D, alors le temoin t 
est une r£ponse acceptable. 
25 Ce raisonnement indiquant une strategle gagnante pour 

Le devin montre que I'on ne sait pas distinguer des donnees 
provenant de L'enregistrement d'une transaction r£ussie et des 
donnees provenant d'une mascarade construite en inversant la 
chronologie de l 1 iteration, c^st-a-dire en choisissant les 
30 exposants avant Les tit res. Le v£rificateur recueille des 
informations impossibles a distinguer de celles qu"iL aurait pu 
produire tout seul, sans interaction avec le v6rifi#, ce qui 
montre que ^accreditation reste bien secrete dans La carte. 

Pour passer avec succes un traitement 
35 d'authentif ication, le bluffeur doit deviner un exposant D. Si 
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les p valeurs de D sont Aquiprobables, La chance laissee au 
bLuffeur est de 1/p. Le facteur de securite est done p. 

Dans un tet traitement le verifie transmet une centaine 
de bits et un element de l'anneau ; le verificateur transmet un 
exposant (D). Pour mener & bien un traitement le verifie caLcule 
d'abord la puissance publique de I 'Aliment r tire au hasard, puis 
le produit de cet element r par la puissance D ifcme de 
I'accreditation B. Le vArificateur fait un peu moins de calcul 
pour retrouver le titre T car il peut combiner intelligemment les 
calculs de puissance : la puissance Difcme de l'identite ombragAe 
J et la puissance pieme du temoin t. 

Si Uexposant p vaut 2 16 \ alors L'exposant D est un 
nombre de 16 bits. Ainsi en un seul traitement, avec un facteur 
de sAcurite de 2 f soit 65536, le verifie calcule dans l'anneau 
16 carres, puis 16 carrAs et une moyenne de 8 multiplications. Le 
v£rificateur ne calcule que 16 carrAs et proc£de en moyenne h 8 
multiplications. 

Le procede d'authentifi cation de message est i I lustre 
sur la figure 8 avec les m§mes conventions, la difference avec La 
figure 7 consistent uniquement dans La formation de La fonction 
de compression f. 

Pour signer un message, le detenteur de L f accreditation 
B de profondeur p commence par tirer au hasard un e Lament r dans 
l'anneau puis calcule la puissance publique de I'eiement r(r P mod 
N). Puis il produit un exposant D grSce a la fonction de 
compression f appliqu£e a La concatenation du message m et de La 
puissance publique de I'eiement r. Le temoin t est le produit de 
I'eiement r par la puissance Didme de ^accreditation B. Le 
message signe est La concatenation de l'identite I, du message m, 
de I 'exposant d et du temoin t. 

Pour verifier une signature, le vArificateur calcule 
dans l'anneau le produit du temoin t h la puissance p par 
L'identite ombragAe J (reconstruite a partir de l'identite 
proctamee I) 6 la puissance D pour reconstituer ce qui doit §tre 
la puissance publique de I'eiement r. Enfin, le verificateur doit 
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retrouver l^xposant D en appliquant la fonction f 6 La 
concatenation du message m et de La puissance publique 
reconstitute. 

C'est ce qui est illustrt sur La figure 9. 

5 Si p s^crit sur 64 bits quelconques, le signataire 

fait environ 192 multiplications dans I'anneau (il doit calculer 
successivement deux puissances avec des exposants de 64 bits sans 
pouvoir les combiner) pour mener a bien L^ptration. Cette 
complexity est dtja nettement inftrieure a celle du proctdt RSA : 

10 768 multiplications en moyenne pour une exponentielle modulo un 
nombre compost sur 512 bits, et 1536 pour un nombre compost sur 
1024 bits. 

Si p s'tcrit sur 64 bits quelconques, le vtrificateur 
fait seulement environ 112 multiplications, car il combine ses 
15 operations en 64 carrts et trois fois 16 multiplications en 
moyenne, pour calculer d f un seul coup t P .J D mod N. II est heureux 
que ^authentication soit plus simple que ^elaboration de La 
signature, car chaque signature est appelee a Stre vtrifite 
plusieurs fois. 

64 

20 Mais, on peut choisir 2 (c'est-a-dire une puissance 

de 2) comme exposant p pour simplifier les calcuLs, sans modifier 
la stcurite du systtme. L'eltvation a la puissance p se fait 
alors par 64 carrts. L'exposant D est un nombre de 64 bits. La 
signature se fait alors en 160 multiplications. La verification 

25 d'une signature se traduit en moyenne par 96 multiplications dans 
I'anneau, soit 12,5% du RSA a 512 bits et 6,2% du RSA a 1024 
bits. 

Dans le proctdt anttrieur FS dtcrit plus haut, avec 64 
accreditations multiples dans la m§me carte, il faut un carre et 

30 une moyenne de 32 multiplications. Ainsi, La mtthode de 
L'invention a accreditation profonde, se paye par un surplus de 
calculs d'un facteur multiplicatif de I'ordre de 3. Quand, dans 
L'art anterieur, on se limite a 8 accreditations dans La carte, 
avec 8 ttmoins dans la signature, (8 iterations a 5 

35 multiplications, soit 40 multiplications), le rapport diminue 
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encore un peu, en faveur de l" invention. 

Bien entendu, on peut aussi choisir 2 64 +1 comrne 

exposant public (c'est-a-dire un nombre impair). Au prix d'une 

seule multiplication suppiementaire pour calculer une puissance 
5 publique, on l£ve ainsi certaines restrictions relatives aux 

residus quadratiques dans l f anneau (lorsque Pexposant p est 

pair, plusieurs elements de I'anneau pouvant correspondre & la 

racine pieme, mais un seul convenant). 

La figure 10 represente schematiquement un calculateur 
10 permettant de mettre en oeuvre l 1 invention. 

Le calculateur represents comprend une interface 

entrees-sorties ES, une unit* centrale UC, une memoire 

programmable du type d lecture seulement (PROM), une memoire & 

lecture seulement (ROM) et une memoire £ accfcs direct (RAM). Le 
15 calculateur comprend encore un organe G du type g£n£rateur de 

bruit ou g£n£rateur aUatoire. 

[.•accreditation et les informations dMdentite 

inscrites dans la memoire PROM sont inaccessibles de I'exterieur. 

Les programmes sont inscrits dans la memoire ROM. La memoire RAM 
20 sert & stocker des r£sultats de calcul. Le g6n6rateur 6 est 

utilise pour les ti rages au sort des divers nombres intervenant 

dans le procede (r, D). 

L'unite centrale et les memoires peuvent §tre 

structurees comme le microcalcuLateur autoprogrammable 
25 monolithique decrit dans le brevet 4,382,279 des Etats-Unis 

d'Amerique. 

La fonction de compression peut faire appel a 
l f algorithme DES (Data Encryption Standard). II existe une carte 
a puce, fabriquee par PHILIPS qui realise cet algorithme DES. 
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REVENDICATIONS 
1. Procede d'authentif i cat ion d'une accreditation a 
apport nul de connaissance, 

a) cette accreditation ayant ete eiaboree par un procede du type 
d cie publique comprenant les operations suivantes : 

- une autorite habilitee a deiivrer des accreditations 
choisit deux nombres premiers, forme le produit (N) de ces 
deux nombres, tient secrets ces nombres, choisit un entier p 
et publie N et p; 

- pour chaque detenteur d'une accreditation, une 
identite numerique I est constituee, puis compietee par 
redondance pour former un mot J appeU identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
prenant ta racine pieme de l 1 identite ombragee dans I'anneau 
des entiers modulo N (A = J 1/p mod N), 

- dans un support approprie contenant une memoire, 
I'autorite charge I'inverse modulo N de ^accreditation A soit 
un nombre B appeU accreditation inverse (B n j mod N=1), ce 
nombre B constituant . ^accreditation qu'il s'agit 
d'authentif ier, 

b) I'authentification de ^accreditation ainsi eiaboree, 
consistent en un processus numerique interactif et 
probabiliste du type a apport nul de connaissance et 
s'etablissant entre un support contenant une accreditation, 
support appele "le verifie" et un organe d'authentif ication 
appeie "le verif icateur", ce processus comprenant au moins un 
traitement numerique constitue par les operations connues 
suivantes : 

- le verifie tire d'abord au hasard un entier r 
appartenant a I'anneau des entiers modulo N, 

- le verifie eUve cet entier r a la puissance p modulo 
N, le resultat etant appeie titre T, 

- le verifie delivre alors au moins une partie des bits 
du titre T, 
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- Le verificateur tire ensuite au hasard un nombre (d> 
et demande au verifie d'effectuer certaines operations sur r 
et sur I 1 accreditation inverse B, ces operations etant liees 
au nombre (d) tire au hasard par Le verificateur et effectuees 
dans l"anneau des entiers modulo N, 

- le verifie deiivre au verificateur un nombre t, 
appeie temoin, resultat de ces operations, 

- le verificateur effectue k son tour des operations 
portant sur le temoin t deiivre par le verifie et sur 
IMdentite ombragee J du verifie, operations liees elles aussi 
au nombre d tire au hasard par le verificateur et effectuees 
dans L'anneau des entiers modulo N, 

- le verificateur compare le resultat ainsi obtenu ' 
avec les bits du titre T que Le verifie a deiivre en debut de 
processus de verification, et admet L'authenticite de 
L'accreditation s'il retrouve ces bits, 

ce procede etant caracterise par Le fait que : 

a) lors de l f eiaboration de l f accreditation (6) Le nombre p 
servant a extraire La racine p ieme de IMdentite ombragee (J) 
est choisi grand et comprend au moins une dizaine de bits, 

b) pour I'authentif ication de ^accreditation le processus ne 
comprend qu'un seul traitement interactif et probabiliste (et 
non une repetition d'un tel traitement), ce traitement unique 
consistant dans Les operations suivantes : 

- Le nombre que le verificateur tire au hasard est un 
entier D compris entre 0 et p-1 (bornes incluses), 

- I'operation que Le verifie effectue pour deiivrer un 
temoin t est Le produit, dans L'anneau des entiers modulo N, 
de I'eiement r quML a Lui m§me tire au hasard, par la 
puissance Dieme de ^accreditation inverse B, Le titre etant 
alors t=r.B mod N, 

- Les operations qu'effectue le verificateur sont le 

produit, dans I'anneau des entiers modulo N, de La puissance p 

ieme du temoin t par la puissance D ieme de LMdentite 
P D 

ombragee J, soit t J mod N, 
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- I'opdratnon de comparaison effective par le 
verificateur porte alors sur les bits du titre T deiivres par 
le verifie et sur les bits obtenus par I'operation precedente, 
l» authenticity de ^accreditation etant acquise en un seul 

5 traitement des tors que tous les bits du titre deiivre par le 

verifie sont retrouves par le verificateur dans t P J° mod N. 

2. Procede d f authentif ication d'un message, ce message 
provenant d'un donneur d'ordre cense it re accredite : 

a) I 'accreditation d'un donneur d'ordre consistant en un mot 

10 numerique B obtenu par un procede & cie publique comprenant 

les operations suivantes : 

- une autorite habilitee k deiivrer des accreditations 
choisit deux nombre premiers, forme le produit N de ces deux 
nombres, tient secrets ces deux nombres, choisit un entier p 

15 et publie N et p, 

- pour chaque donneur d'ordre une identite numerique I 
est constituee puis compietee par redondance pour former un 
mot J appeie identite ombragee, 

- une accreditation A est eiaboree par I'autorite en 
20 prenant la racine p ieme de I'identite ombragee J dans 

I'anneau des entiers modulo N, CA = J 1/P mod N), 

- dans un support approprie detenu par le donneur 
d'ordre l*autorite charge l f inverse modulo N de 
^accreditation A, soit un nombre B appeie accreditation 

25 inverse (B P J mod N=1), 

b) I'authentif ication d'un message Cm) emis par un donneur 
d'ordre ainsi accredite consistant en un processus numerique 
interactif et probabiliste du type a apport nul de 
connaissance et s'etablissant entre le support du donneur 

30 d'ordre cense accredite et appeie "Le verifie" et un organe de 

verification appeie "le verif icateur", ce processus comprenant 
au moins un traitement numerique constitue par les operations 
suivantes : 

- le verifie tire d'abord au hasard un entier r 
35 appartenant a I'anneau des entiers modulo N, 
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- te verifie 6l6ve cet entier r 6 la puissance p modulo 
N et catcule un resultat par une fonction de compression en 
prenant comme argument le message n et r P mod N, soit f Cm, r P 
mod N), le resultat *tant appeie titre T, 

5 - le verifie deiivre alors au moins une partie des bits 

de titre T, 

- le verificateur tire ensuite au hasard un nombre d et 
demande au verifie d'effectuer certaines operations sur r et 
sur ^accreditation inverse B, ces operations etant li£es au 

10 nombre d tire au hasard par le verificateur et etant 

effectuees dans Uanneau des entiers modulo N, 

- le verifi£ fournit au verificateur un nombre t, 
appeie temoin, resultat de ces operations, 

- le verificateur effectue a son tour des operations 

15 portant sur le temoin t deiivre par le verifie et sur 

I'identite ombragee J du verifie, operations liees elles aussi 
au nombre D tin* au hasard par le verificateur et effectuees 
dans l f anneau des entiers modulo N, 

- le verificateur forme une fonction de compression en 
20 prenant comme arguments le message a authentifier m et le 

resultat des operations precedentes, soit f(m, t, J), 

- le verificateur compare la fonction de compression 
obtenue avec le titre T que le verifie a deiivre en debut de 
processus de verification, 

25 ce processus etant caracterise par le fait que : 

a) lors de I'elaboration de ^accreditation du donneur d'ordre, 
le nombre p servant a extraire la racine p ieme de l*identite 
ombragee est choisi grand et comprend au moins une dizaine de 
bits, 

3Q b) pour I'authentif ication du message, le processus ne comprend 

qu'un seul traitement interactif et probabiliste (et non une 
repetition d'un tel traitement), ce traitement unique 
coniistant dans les operations suivantes : 

- le nombre que le verificateur tire au hasard est un 
3 ^ entier D compris entre 0 et p-1 (bornes incluses), 
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- Iteration que le verifie effectue pour deiivrer Le 
temoin t est Le produit, dans t»anneau des entiers modulo N, 
de l f element r qu'il a lui »§me tire, par La puissance Dieme 
de l f accreditation inverse B, Le temoin etant aLors r.B* mod 
N, 

- Les operations qu'effectue Le verificateur sont le 
produit, dans L'anneau des entiers modulo N, de la puissance p 
i£me du temoin t, par La puissance D ifcme de L 1 identite 
ombragee J, 

- Le verificateur forme la fonction de compression du 
message et du r£sultat des operations pr^cWentes soit f Cm, t P 
J mod N>, 

- La comparaison que Le verificateur effectue porte 
alors sur La fonction de compression quMl a obtenue et sur Le 
titre T que Le verifie Lui a delivre en debut de processus de 
verification, L'authenticite du message etant acquise en un 
seul traitement des lors que, a La fin de ce traitement, il y 
a correspondance entre tous les bits de la fonction de 
compression obtenue par le verificateur et les bits du titre 
deiivres par Le verifie. 

3. Procede de signature d'un message par une entite, 
cette entite etant censee etre accreditee, 

a) L'accreditation d'une entite signataire de messages ayant ete 
elaboree par un procede a de publique comprenant les 
operations suivantes : 

- une autorite habilitee a deiivrer des accreditations 
choisit deux nombres premiers, forme Le produit N de ces deux 
nombres, tient secrets Les deux nombres premiers, choisit un 
entier p et publie N et p, 

- pour chaque entite signataire une identite numerique 
I est constituee puis compietee par redondance pour former un 
mot J appeie identite ombragee, 

- une accreditation A est elaboree par L'autorite en 
prenant La racine p ieme de l» identite ombragee J dans 
L'anneau des entiers modulo N (A - J 1/p mod N)„ 
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- dans un support approprie detenu par le signataire 
I'autorite charge I'inverse modulo N de t •accreditation A, 
soit un nombre B appeie accreditation inverse (B P J mod N=1), 

b) La signature d'un message m par un signataire d' identite I 
consistent en un traitement numerique probabiliste comprenant 
Les operations suivantes : 

- le signataire tire au hasard au moins un entier r 
appartenant & I'anneau des entiers modulo N, 

- le signataire eieve cet entier r k la puissance p 
modulo N, 

- le signataire calcule une fonction de compression f 

en prenant comme arguments le message m £ signer et la 
P 

puissance r obtenue, 

- le signataire forme au moins un temoin t en 
effectuant certaines operations sur r et sur I 'accreditation 
inverse B, ces operations etant liees au nombre d tire au 
hasard et etant effectuees dans I'anneau des entiers modulo. N, 

- le signataire transmet le message m, son identite I, 
le mot d, le ou les temoins t, I'ensemble constituant un message 
signe, 

ce procede etant caracterise par le fait que : 

a) lors de I'eiaboraton de I'accreditation du signataire Le 
nombre p servant £ extraire la racine p ieme de I'identite 
ombragee est choisi grand et comprend plusieurs dizaines de 
bits, 

b) pour I'operation de signature du message : 

- le signataire ne tire au hasard qu'un seul entier r 
appartenant £ I'anneau des entiers modulo N, 

- la fonction de compression a pour arguments le 
message m et La puissance p ieme de r, ce qui fournit un 
nombre D, 

- le temoin unique produit par le signataire est Le 
produit, dans I'anneau des entiers modulo N, de I'entier r par 
La puissance D ieme de I'accreditation inverse B, 

- Le signataire fournit, avec le message m, son 
identite I, le toot D et le temoin t. 
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